_ Legal
Actito S.A., 1 Avenue Athéna, 1348 Louvain-la-Neuve, Belgique, +32 (0)10 45 85 14
Cette version a été mise à jour le 04/10/2023
Compte tenu des données sensibles traitées au sein de son logiciel, Actito a mis en place des procédures rigoureuses pour garantir la sécurité des données des clients et des utilisateurs.
Ci-dessous, nous avons fourni un aperçu des principaux processus de sécurité chez Actito :
Actito utilise un modèle de déploiement cloud sur sa propre infrastructure pour sa solution SaaS (Software-as-a-Service). Toutes les activités de maintenance et de configuration du logiciel sont effectuées exclusivement par les employés d'Actito. Pour garantir une sécurité maximale, les données de chaque client sont stockées dans des bases de données dédiées. Nos mesures de sécurité comprennent des pratiques standard telles que les pare-feu, la détection d'intrusion, l'isolation de l'environnement et la gestion rigoureuse des changements.
L'architecture distribuée d'Actito pour la collecte et le traitement des données permet une évolutivité scalabilité transparente pour faire face à un nombre croissant de clients et à l'augmentation des volumes de trafic. La surveillance continue par le biais de divers processus et outils garantit l'utilisation optimale des ressources du réseau, des systèmes d'exploitation, des applications et de la capacité, les systèmes étant redimensionnés lorsque les seuils de capacité prédéterminés sont atteints.
Pour renforcer son plan de continuité des activités, Actito a mis en place des pratiques complètes de gestion des risques. Ces pratiques aident la direction à identifier et à gérer de manière proactive les risques potentiels susceptibles d'affecter notre capacité à fournir des services fiables à nos clients.
Actito maintient et met régulièrement à jour sa politique de sécurité de l'information. Cette politique décrit, entre autres, les responsabilités des employés concernant la confidentialité des données des clients et l'utilisation acceptable des ressources. Tous les membres du personnel sont tenus de réviser et d'adhérer à cette politique.
Seul le personnel autorisé peut administrer les systèmes ou assumer des fonctions opérationnelles et de gestion de la sécurité. L'autorisation et la mise en œuvre des changements font l'objet de responsabilités distinctes, le cas échéant, afin de garantir une sécurité maximale. L'accès aux données des clients est strictement limité à des fins commerciales légitimes.
Actito exige que tous les employés subissent des vérifications des antécédents (autorisées par la réglementation locale) et fournissent des documents d'identité lors de l'embauche.
Les responsabilités générales en matière de sécurité de l'information sont documentées dans la Politique de Sécurité de l'Information d'Actito, que tous les employés doivent signer dans le cadre de leur processus d'intégration.
Tous les nouveaux employés, qu'ils soient à temps plein ou temporaires, reçoivent une formation complète en sécurité de l'information dans le cadre de leur intégration. Une mise à jour annuelle des exigences de formation en matière de sécurité et de confidentialité garantit que les employés renouvellent continuellement leurs connaissances et leur compréhension. De plus, ils sont invités à suivre une formation en ligne mensuelle et une formation anti-phishing spécifique sur mesure. Les employés qui manipulent les données des clients reçoivent une formation spécialisée en sécurité.
Actito gère un processus de résiliation formel qui inclut la suppression de tout accès potentiel à Actito et aux données associées. Les entretiens de sortie servent de rappels aux anciens employés concernant leurs restrictions d'emploi et leurs obligations contractuelles.
Les processus critiques et répétitifs ainsi que les contrôles de sécurité dans l'environnement de production d'Actito sont soit documentés dans des procédures, soit mis en œuvre sous forme de scripts automatisés. Nous maintenons et respectons des processus formels de gestion du changement, en suivant et en documentant tous les changements apportés à l'environnement de production, avec l'implication régulière des responsables concernés.
Les changements planifiés et d'urgence subissent des tests rigoureux dans des environnements distincts. Ces changements sont examinés et approuvés par les développeurs senior et l’équipe de test avant le déploiement dans l'environnement de production. Les tests, à l'exception de la validation du déploiement, sont strictement interdits dans l'environnement de production.
Actito utilise des bases de données entièrement redondantes pour stocker toutes les données des clients. Les données quotidiennes sont sauvegardées selon un calendrier préétabli, cryptées à l'aide d'un algorithme de pointe et stockées dans des emplacements géographiquement séparés.
Actito utilise une solution de gestion des applications d'entreprise conforme aux standards de l'industrie pour surveiller les systèmes 24 heures sur 24. Ce système facilite l'alerte, l'analyse des tendances et l'évaluation des risques.
Toutes les données des clients dans l'application Actito sont cryptées pendant le transit sur les réseaux publics en utilisant le cryptage Transport Layer Security 1.2 ou plus récent (FTPS/HTTPS). Les données fournies par les clients d'Actito au sein de l'application sont stockées au repos en utilisant un cryptage AES-256.
Actito suit une méthodologie de développement agile caractérisée par des cycles de publication itératifs et rapides. La sécurité et les tests de sécurité font partie intégrante du processus de développement du logiciel, avec l'implication de l'assurance qualité à chaque phase pour garantir le respect des meilleures pratiques en matière de sécurité.
Actito a mis en place une solide procédure de gestion des incidents afin de traiter les événements de manière efficace et rapide. Cette procédure décrit les protocoles de déploiement, définit les critères de gravité des incidents, décrit le processus d'investigation et de diagnostic, détaille les exigences en matière de documentation et de rapport et fournit des informations sur les personnes à contacter. Les incidents de sécurité sont transmis par les premiers intervenants au responsable du compte concerné pour notification au client. Les problèmes critiques sont résolus immédiatement et les problèmes de moindre importance sont évalués en vue d'une résolution dans le cadre du processus de développement standard.
Notre plan de continuité des activités (PCA) et notre plan de reprise après sinistre (PRD) donnent la priorité aux fonctions critiques nécessaires à la fourniture des solutions SaaS d'Actito à nos clients. L'étendue des efforts en matière de PCA et de PRD varie en fonction de la criticité de chaque fonction ou installation, maximisant ainsi l'efficacité de ces mesures.
L'architecture des solutions SaaS d'Actito incorpore la redondance dans toute l'infrastructure, assurant la résilience des équilibreurs de charge et des unités de stockage, des moteurs de traitement, des systèmes d'alimentation et des fournisseurs de télécommunications. Il n'y a pas de point de défaillance unique, et toutes les données sont écrites simultanément sur deux sites distincts pour une redondance accrue.